
Envoyé par
psychadelic
Bon, visiblement pour vous on à pas le choix.
Comme la sécurité, la protection, le respect de la vie privée, etc... de Mr toutlemeonde passe par par une cryptologie forte, alors on ne peut rien faire pour débusquer les "méchants" qui utilisent ces mêmes moyens, même s'il en va de la sécurité de chacun.
La nature d'un outil n'a pas de rapport avec l'intention de la personne utilisant cet outil.
Vouloir des systèmes de sécurité qui marchent pour les gens honnêtes et qui marchent pas pour les terroristes c'est le même raisonnement que vous vouloir des couteaux qui coupent pour les cuisiniers et des couteaux qui ne coupent pas pour les tueurs en série. C'est complètement débile.

Envoyé par
psychadelic
c'est ça ?
On est donc dans une logique du tout ou rien ???
Ben oui, un couteau ça coupe, ou pas. Étonnant non ?

Envoyé par
psychadelic
Ce qui m'étonne aussi, c'est que ces moyens techniques de protection sont finalement par des entreprises privées, et qui de fait sont une sorte de fond de commerce pour elles...
C'est vraiment confu tout ça, enfin, je trouve, non ??
Oui visiblement c'est confus. Il te faut une formation en sécurité informatique. Personnellement je n'en avais pas dans mon cursus, j'ai appris au boulot suite à un projet nécessitant d'implémenter des fonctionnalités de cryptographie avancées (signatures électroniques, S/MIME, ...), ça m'a pris pas mal de temps. C'est pas si simple que ça, il y a pas mal de choses à lire. C'est un vrai sujet. Je me prétends pas expert mais j'ai les bases :
En gros le point de départ qu'il faut avoir en tête c'est que tous les algorithmes sur lesquels repose la cryptographie sont dans le domaine public parce qu'ils reposent sur une fiabilité mathématique et pas sur un secret de conception. C'est très facile de les récupérer. Des milliers, peut être des dizaines milliers de chercheurs ou d'universitaires en mathématiques appliquées à l'informatique font leurs thèses sur un ou plusieurs de ces algorithmes dans le monde entier, ou tentent d'en inventer de nouveaux. Il s'agit de maths, purement et simplement.
Ensuite il y a des implémentations publiques, d'autres opensource sous diverses licences, et enfin il y a des implémentations privées mais c'est une aberration totale d'utiliser des implémentations privées.
Il y a différents types d'algorithmes qui constituent les briques de base de toute la sécurité :
- les algorithmes de hashage (MD5 (très connu mais très deprecated), SHA1 (idem), SHA256, ...)
- les algorithmes de chiffrement symétriques (AES, blowfish ...)
- les algorithmes de chiffrement asymétriques (RSA, ...) (qui porte en soi la possibilité de mettre en oeuvre un mécanisme de signature électronique qui a la même valeur légale que les signatures manuscrites depuis un bout de temps désormais)
La combinaison de ces briques permet de mettre en oeuvre des services/protocoles :
- SSL/TLS (connexion sécurisée à un serveur web, le commerce électronique repose entièrement sur ces protocoles)
- S/MIME (contenu des mails chiffrés)
- POP3S, IMAPS (connexion sécurisées à un serveur de messagerie)
- Password-Based Key Derivation Function (qui permet de stocker de manière sécurisée une représentation d'un mot de passe utilisateur dans une base de données sans permettre la réversibilité)
- OAuth (1 et 2) (qui permet la délégation de l'authentification à un tiers (boutons se connecter avec facebook, twitter, etc ...)
- Blockchain (pas encore mur mais rien de bien novateur, tout est basé sur les briques de base)
- ... j'en oublie certainement
Ces services et protocoles permettent de bâtir les applications & services que les utilisateurs finaux (nous) vont utiliser, Facebook, Amazon, gmail, bitcoin, developpez.com, etc ...
On a donc 3 couches :
- les briques de bases
- les protocoles / services
- les applications finales
J'exclus délibérément la question des PKI (Public Key Infrastructure) sinon c'est plus un post mais un cours.
Ce que propose Macron c'est de forcer les éditeurs de services et d'applications à dégrader la sécurité des briques de bases en conservant les clefs privées et les clefs de session (cf algo asymétriques & symétriques), et donc par ricochet de dégrader la sécurité de toute la pyramide.
Ceci a deux effets :
- dégrader la sécurité pour tous ceux qui vont utiliser les applications des éditeurs qui vont respecter la loi (ça ouvre des vecteurs d'attaque pour les pirates, qu'ils soient de simples criminels ou des agences gouvernementales de renseignement d'autres pays)
- ne rien changer du tout pour les criminels, terroristes et autres pedonazis qui vont de toute manière se rabattre sur des applis qui ne respectent pas la loi et utiliser les standards actuels (leur rêve c'est de se faire exploser en emportant le + d'innocents possible, qu'est-ce qu'ils peuvent bien en avoir à foutre de respecter la loi sur le numérique ?). Je rappelle que le point de départ de toute la sécurité informatique c'est des algorithmes qui sont dans le
domaine public.
Voilà c'est l'explication un poil détaillée et il manque encore la notion de PKI qui est pourtant centrale.
Après c'est sur que c'est plus facile de dire au 20h qu'on va empêcher Whatsapp d'aider les terroristes plutôt que d'expliquer toute ce bordel (à supposer qu'il le comprenne lui même, il y a beaucoup d'informaticiens qui ne comprennent rien à ce que je viens d'expliquer et qui ne voient pas le soucis de stocker les clefs privées par exemple. Techniquement on peut donc c'est cool.).
9 |
0 |